| 摘要 |
<p>본 발명은 넷플로우 통계정보를 이용한 비정상 에스아이피(SIP) 트래픽 폭주공격 탐지 모니터링시스템과 그 방법에 관한 것으로서, 더욱 상세하게는 기존의 5-tuple 이외에 송수신자 URI, Call-ID, 메소드별 수 등 SIP 호 설정 관련 정보들과, RTP 음성품질 등 미디어 트래픽 관련 정보를 추가로 수집할 수 있고, SIP 트래픽 정보를 기반으로 세션 상태, RTP 음성품질 모니터링 등 기존 트래픽 모니터링 시스템으로는 확인할 수 없었던 SIP 응용서비스의 특성 정보를 모니터링 할 수 있으며, 호 설정 과정에서 모든 메시지를 프록시 서버로 전송한 뒤 프록시 서버가 목적지로 다시 전송하는 특징을 가져 IP와 port 정보만을 이용한 탐지하는 기존의 방법의 문제점인 SIP 서비스 거부 공격 등 비정상 SIP 트래픽 폭주 공격을 탐지하기가 어려웠던 것을 송수신자 URI, Call-ID, RTP 음성품질 등 SIP 특성정보들을 총괄적으로 고려하고 탐지를 수행함으로써, 비정상 SIP 트래픽 폭주 공격의 탐지가 가능한 효과가 있다.</p> |
